manski's blog

Zertifikate im Firefox 3.0

Article

Jetzt ist der Firefox 3.0 nun schon seit einiger Zeit drau├čen und bis jetzt bin ich mit der neuen Version sehr zufrieden. Insbesondere die verbesserte Geschwindigkeit hat es mir angetan. Eine Sache gibt es jedoch, die mich etwas nervt: die Handhabung von unbekannten Zertifikaten.

Kurzer Einschub: Zertifikate sind im Web daf├╝r da, die Verbindung zu einer Website zu verschl├╝sseln und gleichzeitig ein Mittel darzustellen, um zu pr├╝fen, ob das Zertifikat auch wirklich g├╝ltig ist (und nicht von jemandem anderen kommt – siehe Man-In-The-Middle-Angriff).

Update: Ich bin auf das Addon “Perspectives” gesto├čen, das das “Problem” behebt und sogar noch zus├Ątzliche Sicherheit bietet. Es wurde an der Carnegie-Mellon University entwickelt.


Nun kommt es von Zeit zu Zeit vor, dass eine Seite ein Zertifikat anbietet, das nicht verifiziert werden kann (also nicht von einer Zertifizierungsstelle ausgegeben wurde, die der Firefox als “vertrauensw├╝rdig” eingestuft hat). Insbesondere passiert das auf Websites von privaten Leuten, die keine hunderte von Euro f├╝r ein Zertifikat ausgeben k├Ânnen oder wollen.

Besucht man mit dem Firefox ein Seite (z.B. hier), die ein solches nicht verifizierbares Zertifikat enth├Ąlt, dann sah die Fehlermeldung bis zum Firefox 2.0 noch so aus:

firefox-2-zertifikat-meldung.jpg

Im Firefox 3.0 hat sich diese Meldung ge├Ąndert und sieht jetzt so aus:

firefox-3-zertifikat-meldung.png

Das Problem bei dieser Meldung ist: Man kann das Zertifikat nicht einfach mehr nur f├╝r die aktuelle Sitzung akzeptieren. Man ben├Âtigt 5 Klicks (im Gegensatz zu einem im Firefox 2.0), um das Zertifikat tempor├Ąr zu akzeptieren. Und f├╝r mich als IT-Profi (= ich wei├č, was ich tue und m├Âchte mir mein Verhalten eigentlich nicht von meiner Software vorschreiben lassen) ist das eher nervig als alles andere.

Es gibt jedoch einen kleinen Lichtschimmer: Man kann die Anzahl der Klicks auf 3 reduzieren. Dazu gibt man in der Adresszeile about:config ein, ignoriert die (zugegeben etwas witzige) Warnung und setzt dann die folgenden beiden Werte entsprechende:

  • browser.xul.error_pages.expert_bad_cert auf true: Deaktiviert den Link “Oder sie k├Ânnen eine Ausnahme hinzuf├╝gen…” und zeigt die Kn├Âpfe sofort an. (Klick auf den Link gespart.)
  • browser.ssl_override_behavior auf 2: L├Ądt das Zertifikat automatisch herunter, wenn der Dialog “Sicherheits-Ausnahmeregel hinzuf├╝gen” ge├Âffnet wird. (Klick auf “Zertifikat herunterladen” gespart.)

Leider scheint es keine Konfigurationsm├Âglichkeit zu geben, die Checkbox “Diese Ausnahme dauerhaft speichert” standardm├Ą├čig zu deaktivieren. Das w├╝rde dann auch noch mal einen Klick sparen – aber man kann ja nicht alles haben.

No comments yet

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>